L’errore umano, cioè a dire l’azione (od omissione) non intenzionale da parte di un soggetto appartenente al personale un’organizzazione che causa, diffonde o consente una violazione di sicurezza, rappresenta la causa del 95% degli incidenti informatici.
Determinante è, pertanto, procedere alla mitigazione del rischio connesso ad errori o azioni umane, implementando azioni volte all’innalzamento del livello di consapevolezza del personale in relazione alla gestione e all’utilizzo dello strumento informatico e, così, aumentando il bagaglio di competenze del personale stesso in materia di sicurezza informatica.
È dunque di fondamentale importanza, specie all’aumentare delle dimensioni dell’organizzazione, predisporre un piano di formazione adeguato, allo scopo di educare, formare e sensibilizzare il personale alle tematiche della cybersecurity.
Esempi di attività formative sono: la partecipazione a corsi, l’affiancamento a soggetti più esperti, la rotazione del personale di modo da esporlo a più attività, ecc.
Inoltre, la formazione non può seguire un approccio one-size-fits-all: nell’individuazione, pianificazione e implementazione delle attività formative, è infatti opportuno definire correttamente i destinatari, anche suddividendo per mansioni e competenze (ad esempio, un IT necessiterà di formazione alla cybersecurity diversa rispetto al personale amministrativo) o per età.